Text 



Page 1 of 1 



AN: PAT 1986-138240 

TI: Input-output failure protection for multiprocessor system 

transmitting data over duplicated channels with facility to 

identify faulty unit 
PN: DE3442418-A 

PD: 22.05.1986 03 
AB: The multiprocessor has duplicated redundancy built in to 171 

provide safe operation. A number of processors (RS1-RS6) have CO 

duplicated input/output units (E/A21, E/A22, etc.) that are led 

to two buses (Bl, B2 ) . A digital data from one processor (RS2) ^> 
to another (RSI) is either transmitted in identical form or in 

true and inverted form by the I/O stages (E/A21, E/A22). Upon S 
reception the data is subjected to a checking procedure. Any F~ 
fault in the I/O unit is signalled back to the transmitting j2 
processor. Any further transmissions are switched to an p£ 
alternative processor that has correctly operating I/O units.; 
To control railway network switching system. 
PA: (SIEI ) SIEMENS AG; 

IN: GUNTHER R; LOHMANN H J; O 
FA: DE3442418-A 22.05.1986; DE3585361-G 19.03.1992; "J 
EP182134-A 28.05.1986; EP182134-B 05.02.1992; *^ 
CO: AT; CH; DE; EP; LI; NL; 
DR: AT; CH; DE; LI; NL; 
IC: G06F-011/16; 

MC: T01-G03; T01-H01; T01-J02; - ^ ^ ' 

DC: T01; 

PR: DE3442418 20.11.1984; 
FP: 22.05.1986 
UP: 19.03.1992 



http://fiz.mchp.siemens.de/HTML/3628985.html 



3/30/2006 



THIS PAGE BUNK (uspto) 



® 



Europaisches Patentamt 
European Patent Office 
Office europ6en des brevets 



® Veroffentfichungsnummer: 



0182 134 

A2 



® 



EUROPAISCHE PATENTANMELDUNG 



@ AnmeWenummer: 85113416.3 
@ AnmeJdetag: 22.10.85 



inta*:G06F 11/00 



® Priorit&t : 20.1 1 .64 D E 344241 8 



@ Veroff entKchungstag der Anmeldung : 28.05.86 
Patentblatt 86/22 



@ Benannte Vertragsstaaten : AT CH DE U NL 



© Anmelder: Siemens Aktiengesellschaft, Berlin und 

MQnchen Wmelsbacherplatz 2, D-80QO MQnchen 2 (DE) 



© Erfinder: Lohmann, Helnz-JUrgen, Dr.-lng., 
Erftstrasse 10, D-3300 Braunschweig (DE) 
Erfinder: GOnther, Rudolf, DipL-tng., Ackerweg 25, 
D-3300 Braunschweig (DE) 



Verffahron rum Betrieb elnes signattechnisch slcheren Mehrrechnersystems mlt mehreren signaltechnfsch nlcht sicheren 
cin/Ausgabebaugruppan. 



@ Das Mehrrechnersystem (RS1) prOft laufend die in den 
Ein/Ausgabebaugruppen (E/A11. E/A12) seiner Einzelrech- 
ner anstehenden, uber gesonderte Kanale ubermittelten 
Daten auf Obereinstimmung. Belm Auftreten von Abwei- 
chungen fuhrt das Mehrrechnersystem Redundanzprufun- 
gen durch und ermittelt aus dem Ergebnis dieser Prufungen 
die jeweils defekte Ein/Ausgabebaugruppe (z.B. E/A11). Fur 
eine bestimmte Zeitspanne wird der Datenverkehr dann 
uber eine noch intakte Ein/Ausgabebaugruppe (E/A12) ab- 
9| gewickeit. Die Datenubertragung wahrend dieser Zeit er- 
0^ folgt hoherredundant als bei ordnungsgerechtem Zustand 
alter Ein/Ausgabebaugruppen. 
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5 Verfahren zum Betrieb eines signaltechnisch sicheren 
Mehrrechnersystems mit mehreren signal technisch nicht 
sicheren Ein/Ausq a hPh a , 



Die Erfindung bezieht sich auf ein Verfahren zum Be- 

mit e !/f e ! S±gnaltecimlsch si ^ren Mehrrechnersystems 
mit mindestens zwei signaltechnisch nicht sicheren Ein/ 
Ausgabebaugruppen, Uber die die Rechner des Mehrrechner- 
systems mindestens zweikanalig Datentelegramme von und/ 
oder zu anderen Rechnern und/oder sonstigen Daten auf- 
nehmenden, abgebenden oder verarbeitenden Schaltmitteln 

haltlxch ubereinstimmenden Telegrammen fur die Ein/Aus- 
gabebaugruppen durch Prlifdaten gesicherte Nutzdaten emp- 
fangen bzw. nach dort abgeben. 

FUr besonders sicherheitsrelevante Anwendungsfalle wie 
2.B. das Eisenbahnsicherungswesen sind signaltechnisch 
sxchere Mehrrechnersysteme entwickelt worden, in denen 

uilbn-n"^ 6 " 611 ' 611 Dat6n ^ mehreren Ml « dwells 
unabhangxg voneinander nach bestimmten Gesetzmafligkei- 

ten behandelt werden; durch Vergleichsprozeduren verden 
etwaxge Datenabweichungen in den einzelnen Kanalen er- 
kannt und in entsprechende Steuerkommandos umgesetzt 
dxe im Sinne eines Gefahrdungsausschlusses auf den zu 
steuernden ProzeB wirken. Signaltechnisch sichere Mehr- 
rechnersysteme miissen aber nicht nur in der Lage sein 
die ihnen zugeftthrten Daten in der vorgegebenen Veise' 
zu behandeln, sondern sie mUssen auch in der Lage sein 
festzustellen, ob die in ihren signaltechnisch nicht 
Gi-6-Jas / 15.11.84 
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sicheren Ein/Ausgabebaugruppen anstehenden Daten bei- 
spielsweise infolge einer Ubertragungsstorung Oder eines 
Bauteiledefektes verfalscht sind oder nicht, um dann die 
Auswertung dieser verfSlschten Daten zu unterbinden. 

5 

EIn bekanntes Verfahren zur Sicherung der Datenilbermitt- 
lung sieht vor, den eigentlichen Nutzdaten sendeseitig 
nach bestimmten Gesetzmafiigkeiten gebildete Priifdaten 
beizugeben, aus den ttbermittelten Nutzdaten empfangssei- 
10 tig nach den gleichen Gesetzmafiigkeiten die zugehBrigen 
Priifdaten nachzubilden und diese mit den iibennittelten 
Priifdaten zu vergleichen. Diese Art der Datensicherung 
ist im allgemeinen um so wirkungsvoller, je aufwendiger 
die Priifdaten werden. 

Bei der heutigen Technik sind die Ein/Ausgabebaugruppen 
elektronischer Datenverarbeitungseinrichtungen ttblicher- 
weise mit hochintegrierten Schaltkreisen (FIFOS) besetzt, 
deren mogliche Ausfallreaktionen nicht umfassend bekannt 

20 sind und aus Aufwapdsgriinden auch nicht durch Analyse 
ermittelt werden kSnnen, Dies hat zur Folge, daB der 
Nachweis dafiir, daB es keine Ausf allwirkung gibt, die 
trotz Redundanzpriifung unerkannt bleibt, in letzter Kon- 
sequenz nicht vollstSndig gefiihrt werden kann, so daB 

25 auch bei sehr umfangreichen Priifdaten nicht erkennbare 
Nutzdatenverfalschungen nicht ausgeschlossen werden kon- 
nen. Deshalb erfiillt dieses Losungskonzept die Forde- 
rungen hinsichtlich signal technischer Sicherheit als 
Voraussetzung fttr die Zulassung einer Telegrammiibertra- 

30 gung fiir besonders sicherheitsrelevante Anwendungen nur 
unzureichend • 

Nicht vorhersagbare Ausfallreaktionen einer Baugruppe, 
z.B. einer mit hochintegrierten Schaltkreisen bestiickten 
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Ein/Ausgabebaugruppe, l asS en sich grundsatzlich durch 
Vervielfachung dieser Baugruppen und Vergleich ihrer 
Reaktionen miteinander erkennen. Fur den vorliegenden 
Anvendungsfall bedeutet dies, daS die ein-bzw. auszu- 
5 gebenden Informationen jeveils parallel in mindestens 
zwei gesonderte Ein/Ausgabebaugruppen einzuschreiben 
sind [ und dafl das Mehrrechnersystem dann die gegenseiti- 
ge Ubereinstimmung der abgespeicherten Daten uberpriift 
Wxrd beim Vergleich der in diesen Baugruppen gespeicher- 
10 ten Daten eine Ungleichheit erkannt, so sperrt das Rech- 
nersystem die Verwertung der gespeicherten Informatio- 
nen. Damit ist die Ungefahrlichkeit des ersten Ausfalls 
einer Ein/Ausgabebaugruppe absolut gegeben. 

15 Ein Defekt an einer Ein/Ausgabebaugruppe soil zwar als 
solcher sofort erkannt und in seiner Auswirkung unwirk- 
sam gemacht werdenj ein derartiger Defekt soli jedoch 
nach Moglichkeit nicht den weiteren Datenverkehr des 
Rechnersystems mit den Systemelementen blockieren, die 
20 die durch den Defekt betroffene Ein/Ausgabebaugruppe mit 
Daten versorgen bzw. von dort Daten beziehen und er soli 
insbesondere nicht zum Ausfall des gesamten Rechnersy- 
stems fiihren. Urn den Datenverkehr auch beim Ausfallen 
einzelner Ein/Ausgabebaugruppen fortfuhren zu konnen 
25 ist es bekannt, Jeder Ein/Ausgabebaugruppe mindestens 
exne entsprechende Reservebaugruppe beizuordnen, die 
spatestens im Storungsfall zu aktivieren ist und dann 
die Dateniibertragung iibernimmt. 

30 Nachteilig an dieser Ausfiihrung ist der hohe Aufwand 

fUr die Ein/Ausgabebaugruppen. Dies ist besonders schwer- 
wxegend, wenn es sich bei den Ein/Ausgabebaugruppen urn 
die Schnittstellen zu vielen anderen Rechnem oder son- 
stigen Anlagenelementen mit gleichen Anforderungen han- 
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delt. Dann mufl namlich dieser zusatzliche Auf wand an 
alien Rechnem getrieben werden und das geht erheblich 
ins Geld. 

5 Eine MSglichkeit, die beiden vorgenannten Sicherungs- 
methoden miteinander zu verkntipfen, besteht darin, die 
zu Ubermittelnden Daten mit Priifdaten zu versehen und 
mehrkanalig auszuwerten. Dieses Verfahren wird bei der 
in der DE-OS 26 09 107 offenbarten SchaltuHg angewandt. 

10 Nach Pritfung der Redundanz in mehreren voneinander un- 
abhangigen Baugruppen werden die von diesen Baugruppen 
gebildeten Ergebnisse miteinander verglichen. Wenn man 
davon ausgeht, daB - wie bereits dargelegt - durch Re- 
dundanzpriifungen Datenverfalschungen in einem Register 

15 nicht mit absoluter Sicherheit erkannt werden kSnnen, 
dann konnen derartige Verfalschungen auch nicht durch 
eine verdoppelte Redundanzprtifung sicher auf gezeigt wer- 
den. Das bedeutet, daB die aus der DE-OS 26" 09 107 be- 
kannte Schaltung den hohen Sicherheitsanf orderungen si- 

20 gnaltechnisch sicherer Mehrrechnersysteme nicht gerecht 
wird. 

Aufgabe der vorliegenden Erfindung ist es, Verfahren zum 
Betrieb eines signaltechnisch sicheren Mehrrechnersystems 

25 gemafl dem Oberbegriff des Patentanspruches 1 bzw. 2 an- 
zugeben, die etwaige Datenverfalschungen in bestimmten, 
durch inhaltlich gleiche Datentelegramme beschickten 
Ein/Ausgabebaugruppen sicher erkennen, torn sie in ihrer 
Auswirkung unwirksam zu machen und die es dariiber hinaus 

30 gestatten , den Datenverkehr auch nach dem Auftreten ei- 
ner Datenverfalschung mindestens bedingt auf rechtzuer- 
halten, ohne daB es hierzu der Bereitstellung zusatzli- 
cher Reservebaugruppen bedarf . Die erfindungsgemaBen 
Verfahren sollen dabei in sich so transparent sein, daB 
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der Nachweis fur den sicheren Aufgriff von Datenver- 
falschungen als Voraussetzung fur die Zulassung der 
erfindungsgemSBen Verfahren bei sicherheitsrelevanten 
Anwendungen moglich ist. Ferner ist es Aufgabe der Er- 
findung, solche Einrichtungen zu benennen, die beson- 
ders geeignet sind fur die Durchfuhrung der erfindungs- 
gemaBen Verfahren. 

Die Erfindung 15st diese Aufgabe durch die kennzeich- 
nenden Merkmale des Patentanspruches 1 bzw. die des 
Patentanspruches 2. Vorteilhafte Aus- und Weiterbil- 
dungen der Erfindung sind in den Unteranspruchen an- 
gegeben. 

15 Beide Verfahren sind so beschaffen, daB sie auf in den 
mit iibereinstimmenden Datentelegrammen zu belegenden 
Ein/Ausgabebaugruppen eines Mehrrechnersystems auftre- 
tende Datenverfalschungen sicher reagieren, die Aus- 
wertung der fehlerbehafteten Daten verhindern und die 
an der DatenverfMlschung tatsachlich oder moglicher- 
weise beteiligten Elemente von der weiteren DatenUber- 
mittlung ausschliefien. Dabei fUhren die beiden Verfah- 
ren zu unterschiedlichen Reaktionen bezogen auf die An- 
zahl der von der deweiligen Storung betroffenen System- 
25 elemente. Nach beiden Verfahren wird die Datenubertra- 
gung im AnschluB an das Auffinden f ehlerbehafteter Da- 
ten unter zusatzlicher Datensicherung und Belegung ei- 
nes durch die Datenverfalschung nicht betroffenen Uber- 
tragungskanals fUr eine bestimmte Zeitspanne zugelassen, 
30 die zum Beheben des eingetretenen Defektes genutzt wer- 
den kann. 



20 



Die Erfindung ist nachstehend anhand von in der Zeich- 
nung schematisch dargestellten Ausfuhrungsbeispielen 
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naher erlautert. 

Die Zeichnung zeigt in den Figuren 1 und 2 einen beson- 
ders vorteilhaften Aufbau von aus mehreren signaltech- 
5 nisch sicheren Mehrrechnersystemen bestehenden Rechner- 
anordnungen, die in unterschiedlicher Weise auf f ehler- 
haft abgelegte Daten reagieren, und in Figur 3 ein Funk- 
tionsschaubild zur Erlauterung der erfindungsgemaBen 
Verfahren bei einem signaltechnisch sicheren Zweirech- 
10 ner system* 

Die in Figur 1 dargestellte Rechneranordnung besteht 
aus beispielsweise sechs signaltechnisch sicheren Mehr- 
rechnersystemen RS1 bis RS6, die iiber zugeordnete Ein/ 

15 Ausgabebaugruppen an die beiden Busse B1 und B2 eines 
Bussystems angeschlossen sind, iiber das die Mehrrech- 
nersysteme zweikanalig miteinander kommunizieren. Es 
ist angenommen, dafl das Rechnersystem RS2 Daten in Form 
eines Telegrammes an das Rechnersystem RS1 zu tibermitteOn 

20 hat. Hierzu aktiviert das Rechnersystem RS2 seine beiden 
Ein/Ausgabebaugruppen E/A21 und E/A22 zur. beispielswei- 
se adressenorientierten Ubertragung inhaltlich gleicher 
Datentelegramme iiber die beiden Busse B1 und B2 an die 
Ein/Ausgabebaugruppen E/A11 und E/A12 des Rechnersystems 

25 RS1 ; die iiber die beiden Busse iibertragenen Datentele- 
gramme konnen dabei unterschiedlich, z.B. invers darge- 
stellt sein. Das die Daten aufnehmende Rechnersystem RS1 
priift die in seinen Ein/Ausgabebaugruppen abgelegten Da- 

30 ten vor ihrer Anerkennung auf Einhaltung des f estgeleg- 
ten Datenformates und auf inhaltliche Ubereinstimmung, 
Dabei moge das Rechnersystem RS1 in seinen Ein/Ausgabe- 
baugruppen E/A11 und E/A12 voneinander abweichende Da- 
ten feststellen. Das Rechnersystem verwirft daraufhin 

35 das iibermittelte Datentelegramm void fordert iiber beide 
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Busse B1, B2 vom Datensender, dem sicheren Mehrrechner- 
system RS2, eine erneute Telegrammiibertragung an. Ge- 
nugen die dabei ubermittelten Daten den Prtifbedingungen 
de S Rechnersystems RS1, so werden sie anerkannt, wobei 
5 die Anerkennung der Daten dem Datensender quittiert wer- 
den kann. Endet auch der zweite Versuch einer Dateniiber- 
mittlung negativ, d.h. stellt der Datenempfanger inhalt- 
lxch oder vom Format her abweichende Daten in seinen 
Exn/Ausgabebaugruppen fest, so stellt er auf noch zu er- 
10 lautemde Weise fest, welcher der in seinen Ein/Ausgabe- 
baugruppen abgelegten Datensatze fehlerhaft ist und wel- 
cher nioht. Im vorliegenden Beispiel moge das Rechner- 
system RS1 die in seiner Ein/Ausgabebaugruppe E/A11 an- 
stehenden Daten als fehlerhaft erkannt.haben. Es sperrt 
15 daraufhin rechnerintern die weitere Aufnahme von Daten 
uber die betreffende Ein/Ausgabebaugruppe und unterrich- 
tet mxndestens das Mehrrechnersystem RS2, von dem das 
fehlerbehaftete Datentelegramm stammte, hiervon. Dies 
fuhrt dort zum Setzen eines entspreohenden Sperrvermer- 
20 kes, der die weitere Obertragung von Daten liber die Ein/ 
Ausgabebaugruppe E/A21 zur Ein/Ausgabebaugruppe E/A11 
des Mehrrechnersystems RS1 verhindert. Damit wird dem 
Umstand Rechnung getragen, daB empfangsseitig zwar die 
aufgetretene Datenverfalschung erkennbar ist, nicht -le- 
25 doch, wo der Ort dieser Datenverfalschung liegt. 

Wenn die von der f estgestellten Stoning direkt betroffe- 
nen beiden Rechnersysteme auch mit anderen, an das glei- 
che Bussystem angeschlossenen Rechnersystemen kommuni- 
30 zxeren sollen, ist es vorteilhaft, auch diese Rechner 
davon zu unterrichten, daB bestimmte Ein/Ausgabebaugrup- 
pen des die Storung f eststellenden Rechnersystems und 
ggf . des Rechnersystems, von dem das verfalschte Daten- 
telegramm stammte, fur die weitere DatenUbertragung 
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nicht mehr zur Verfugung stehen, Hierdurch soil verhin- 
dert werden, dafl ein Defekt in einer einzigen Ein/Aus- 
gabebaugruppe nach und nach zum Sperren weiterer Ein/ 
Ausgabebaugruppen anderer Rechnersysteme fiihrt. 

5 

Die durch die Storung direkt betroff enen Mehrrechner- 
systeme RS1 und RS2 korrespondieren untereinander und 
ggf • mit den durch die Storung nicht direkt betroffe- 
nen Mehrrechnersystemen RS3 bis RS6 fortan auf eine 
10 Weise, wie sie im einzelnen anhand der Figur 3 erlau- 
tert wird. 

Bei dem Ausfiihrungsbei spiel der Figur 2 ist angenommen, 
daB auch das jeweils sendende Mehrrechnersystem die in 

15 seinen Ein/Ausgabebaugruppen zur tfbertragung anstehen- 
den Daten vor der Ubertragung auf Ubereinstimmung priift v 
Wieder soli dabei das sichere Mehrrechnersystem RS2 Da- 
tentelegramme liber das Bussystem B1 , B2 an das Mehrrech- 
nersystem RS1 iibermitteln. Beim RUcklesen der in den 

20 Ein/Ausgabebaugruppen E/A21 und E/A22 anstehenden Daten 
moge das Mehrrechnersystem RS2 Abweichungen in den Daten 
feststellen. Die Ausgabe dieser Daten wird daraufhin ver- 
hindert und das Rechnersystem versucht - ggf • nach er- 
neuter Generierung der entsprechenden Daten - auf noch 

25 zu erlauternde Weise f estzustellen, welcher der in sei- 
nen Ein/Ausgabebaugruppen anliegenden Datensatze f ehler- 
haft ist, Es moge dabei zu der Erkenntnis gelangen, daB 
die in seiner Ein/Ausgabebaugruppe E/A21 anliegenden Da- 
ten fehlerhaft sind. Das sichere Mehrrechnersystem veran- 

30 laBt daraufhin durch Setzen einer entsprechenden Sperr- 
markierung, daB tfber diese Ein/Ausgabebaugruppe keine 
weiteren Daten abgegeben werden; ggf. wird auch die Auf- 
nahme von Daten Uber diese Ein/Ausgabebaugruppe gesperrt. 
Das Mehrrechnersystem RS2 unterrichtet die ubrigen Mehr- 
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rechnersysteme von dieser MaBnahme und kommuniziert mit 
diesen Rechnersystemen fortan auf die nachstehend naher 
erlSuterte Weise. 

5 Die Zeichnung zeigt in Figur 3 ein Funktionsschaubild 
fur die Erlauterung der erfindungsgemafien Verfahren 
zum Betrieb eines Mehrrechnersystems, das durch zwei 
Einzelrechner R1 und R2 gebildet wird. In der Zeichnung 
smd nur diejenigen Elemente dargestellt, die fiir die 
10 Erlauterung der erfindungsgemafien Verfahren erforder- 
lich sind. Die Ein- bzw. Ausgabe der hier interessieren- 
den Daten erfolgt uber zwei signaltechnisch nicht siche- 
re Ein/Ausgabebaugruppen E/A1 und E/A2, die auf geson- 
derte Busse B1 und B2 gefiihrt sind. tJber diese Ein/Aus- 
15 gabebaugruppen kSnnen sowohl Datentelegramme vom Rech- 
nersystem aufgenommen als auch Daten an andere Rechner 
Oder an eine Peripherie abgegeben werden. Die Daten set- 
zen sich aus Nutz- und PrUfdaten zusammen. 

20 Die bei der Eingabe von Daten in das Zweirechnersystem 
uber die Busse B1 , B2 zweikanalig angelief erten und in 
den Registern der Ein/Ausgabebaugruppen E/A1 und E/A2 
anstehenden Daten werden im Zweirechnersystem jeweils 
vor ihrer Anerkennung miteinander verglichen, wobei sich 
25 dieser Vergleich zunachst nur auf die Nutzdaten beschran- 
ken kann; es ist aber auch mSglich, die jeweils ubermit- 
telten Daten grundsatzlich auch einer Redundanzprufung 
zu unterziehen, d.h. die Zuordnung von Nutz- und PrUf- 
daten zu prufen. Dieser Vergleich bzw. die zusatzliche 
30 Redundanzprufung findet dezentral in den beiden Einzel- 
rechnern R1 , R2 des sicheren Mehrrechnersystem statt. 
Jeder Einzelrechner vergleicht bzw. prUf t die ihm von 
beiden Ein/Ausgabebaugruppen E/A1 und E/A2 angebotenen 
Datensatze. Stellen die Rechner unabhangig voneinander 
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aber iibereinstimmend abweichende Daten in den beiden 
Ein/Ausgabebaugruppen fest, so verwerfen sie die dort 
abgelegten Daten und fordern vom jeweiligen Datensen- 
der die erneute Ubertragung der von ihnen als f ehler- 
5 haft erkannten Daten an. Geniigen diese Daten den gege- 
benen Bewertungsbedingungen, so werden sie von den bei- 
den Einzelrechnern akzeptiert und der weiteren Verar- 
beitung RV1, RV2 zugeftihrt. 

10 Genugen die angef orderten Daten auch jetzt den gegebe- 
nen Bewertungsbedingungen nicht, so werden auch sie ver- 
worfen. Die beiden Einzelrechner R1, R2 versuchen nun. 
festzustellen, welche der beiden Ein/Ausgabebaugruppen 
fehlerhafte Daten enthalt und welche nicht. Hierzu un- 

15 terziehen beide Rechner die ihnen von beiden Ein/Aus- 
gabebaugruppen zugefuhrten Daten einer Redundanzpruf ung . 
Dabei sollen beide Rechner iibereinstimmend feststellen, 
daB der in einer Ein/Ausgabebaugruppe anstehende Daten- 
satz den Redundanzbedingungen geniigt, der andere jedoch 

20 nicht. Im angenommenen Fall sollen beide Rechner die in 
der Ein/Ausgabebaugruppe E/A2 anliegenden Daten als 
fehlerhaft erkannt haben, wahrend die in der Ein/Ausgabe- 
baugruppe E/A1 anstehenden Daten den vorgegebenen Re- 
dundanzbedingungen genugen sollen. 

25 

Nach dem Vergleich ihrer Priif ergebnisse veranlassen bei- 
de Rechner das Setzen von Sperrmarkierungen und diese 
Sperrmarkierungen verhindern, daB die in der Ein/Ausga- 
bebaugruppe E/A2 abgelegten Daten mindestens beim Da- 
30 tenverkehr mit demjenigen Element des Ubertragungssystems, 
von dem die Daten fehlerhaft empfangen bzw. abgelegt 
wurden, fortan ausgewertet bzw. fortgeschaltet werden. 
Dies geschieht z.B. dadurch, daB rechnerintem der Auf- 
ruf der der als gestort erkannten Ein/Ausgabebaugruppe 
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zugeordneten Adresse verhindert wird. 
Das die StSrung erkennende Rechnersystem R1, R2 unter- 
richtet nun Uber das Bussystem die Datenquelle, von der 
die die Storung verursachenden Da-ten stammen, Uber die 
5 eingetretene StSrung und den durch die StSrung betrof- 
fenen Ubertragungskanal B1. Die jeweils angesprochene 
Datenquelle sperrt daraufhin ihrerseits die Auswertung 
bzw. Fortschaltung von Datentelegrammen iiber den ge- 
stbrten Ubertragungskanal B1 . Die beiden durch die St8- 
10 rung direkt betroffenen Rechnersysteme kommunizieren 
dann nur noch Uber mindestens einen durch die StSrung 
mcht betroffenen Obertragungskanal, im angenommenen 
Beispiel iiber den Bus B2. 

FUr den Fall, dafi mindestens einer der beiden von der 
15 Stdrung direkt betroffenen Mehrrechnersysteme uber das 
Bussystem noch mit weiteren Rechnersystemen kommunizie- 
ren soli, ist es vorteilhaft, auch diese Rechner davon 
zu unterrichten, daB bestimmte Ein/Ausgabebaugruppen ftir 
die Datenubertragung nicht mehr zur VerfUgung stehen 
20 iGleichzeitig mit dem Setzen der Sperrmarkierung fordert 
das die Storung erkennende Rechnersystem das Rechner- 
system, von dem die f ehlerbehaf teten Daten stammen, bzw 
auch alle Rechnersysteme, mit denen es zu kommunizieren 
hat, dazu auf , zukiinftig fur die Ubertragung von Daten 
25 an das Rechnersystem R1 , R2 hoherredundante Daten zu er- 
stellen und ausschlieBlich an die Ein/Ausgabebaugruppe 
E/A1 zu Ubertragen; entsprechend unterrichtet das siche- 
re Mehrrechnersystem R1, R2 das bzw. die Ubrigen Mehr- 
rechnersysteme davon, daB es selbst ebenfalls hSherre- 
30 dundante Daten erstellen und diese Uber die Ein/Ausgabe- 
baugruppe E/A1 an die Mehrrechnersysteme Ubermitteln 
wird. 
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Die vorstehend erlauterten MaBnahmen konnen sinn- 
gemafl auch fUr einen Datensender gel ten, von dem die 
als fehlerhaft erkannten Daten stammen. 



5 Einzelne Oder alle Mehrrechnersysteme uberpriif en nun 
f ortlauf end bei Datenverkehr mit dem bzw. den durch die 
Stoning direkt betroff enen Mehrrechnersystemen das Ein- 
halten der verscharften Redundanzbedingungen und sie 
erstellen auch selbst fur den Datenverkehr mit diesen 
10 Mehrrechnersystemen die hoherredundanten Daten. Entspre- 
chendes gilt fur die Mehrrechnersysteme mit den ausge- 
f all enen Ein/Ausgabeeinrichtungen. 

Eine besonders bevorzugte Ausfiihrungsf orm der Erf indung 

15 sieht vor, daB die nach dem Ausf alien einer Ein/Ausgabe- 
baugruppe zu iibertragenden hoherredimdanten Datentele- 
gramme das gleich Format wie die zuvor iibertragenen 
Datentelegramme axifweisen, dafl sie aber von der jewei- 
ligen Datenquelle her mehrfach iibertragen werden, wobei 

20 sich dann nicht ihr Inhalt aber ihre Darstellung andert. 
Vorzugsweise ist dabei an eine inverse Darstellung der 
Daten in auf einanderf olgenden Datentelegrammen gedacht. 
Das jeweils als Empfanger fungierende sichere Mehrrech- 
nersystem priift vor der Anerkennvmg der Daten, ob in den 

25 ihm nacheinander Ubermittelten Datentelegrammen sovohl 
die Nutz- als auch die Priif informationen jeweils von 
ihrem Inhalt her Ubereinstimmen und ob die ubennitt el- 
ten Priifinf ormationen mit den vom Rechnersystem nachge- 
bildeteh Priif informationen ubereinstimmen, Nur solange 

30 diese Voraussetzungen gegeben sind, ist die Auswertung 
der von einem Rechnersystem mit einer def ekten Ein/Aus- 
gabebaugruppe stammenden Daten zulassig. Fiihrt eine 
Redundanzprufung zu dem Ergebnis, daB entweder die nach- 
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ToTZ Ube ^ tt6lten Nuta - «* ™*informatione„ 
nloht ubereinstimmen Oder dafl die Zuordnung von Nutz 
und Prufinformationen nicht mebr gegebenTst, so ^ 

5 ^ Dat ~>" ^ »»• - MehrrecbnersysL 

abL \ S6 ° rt ^/Ausgabebaugruppen 
sbgebrochen. Das Menrreennersystem ait den ausgefalle 

"u?r g T: ugruppen schaitet sicii -~ » ^ 

wait aus dem Eeohnerverbnnd aue als die Datentibermitt- 
, 1 „ geSt6rteD ^-^ebaugruppen betroffen 

aeL , ^ arbe " et " naCh V ° r -d 
setzt uber andere Ein/Ausgabebaugruppen zugefiihrte Mel 

und ubertragt dzese Kommandos en die ProzeBperipherie. 
Die F ortfuhning des Datenverkehrs aber 
ublieberweise It inbaltlich gleioben Detente! egrelen 
versorgte Ein/Ausgabebaugruppen 1st nacb der vZTZ 

zulasszg, sonde™ diese Zeit ist auf eine maximal zu- 
laaexge Zeitspenne begrenzt. let bis zu diesem Zeit 

dor gestorten WAusgabebaugruppe bzw. des Obertragungs- 
kenels nient beboben, so verbietet sich die weitere^af 
tenubertregung Uber des Bussystem. Die meximel zulassige 
Zext fur das Aufschalten einer einzigen Ein/Ausgabebau! 
gruppe auf beide Einzelrecbner des Mebrrecbnersystems 
ist abhangig von der fttr die betreff ende Baugruppe auf 
gruna ibres Aufbaus zu erwartenden mittlerT Zei't \T 
«™ T ^f 11 ^ 16 voneinander auftretendan Peblern 
(MTBF a meantime between failures) und einer Kenngr88a 

reichten Redundanz. Die erreiohbare maximale Zeit in 

vardefda^f^rr^ ^ *^*« 
warden darf , l leg t bai einer typiscban Reohnerenordnung 
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mit einer Vielzahl von signaltechnisch sicheren Mehr- 
rechnersystemen in der GroBenordnung von weit iiber 
10 Stunden. In dieser Zeit, die rechnerisch bestimmt 
werden kann, laBt sich der eingetretene Def ekt durch 
5 Instandsetzung oder durch Ersatz von Baugruppen nriihe- 
los bebeben. 

Piir die Begrenzung der Zeitspanne, fUr die nach dem 
Ausfallen einer Ein/Ausgabebaugruppe der Datenverkehr 

10 uber eine noch intakte Ein/Ausgabebaugruppe weiterge- 
fuhrt werden darf , ist dem sicheren Mehrrechnersystem 
ein signaltechnisch sicheres Zeitglied zugeordnet. Die- 
ses signaltechnisch sichere Zeitglied, das in der Zeich- 
nung durch die Zeitglieder T1 und T2 verdeutlicht ist, 

15 wird eingestellt, sobald die Rechner des Mehrrechner- 
systems die Auswertung der in einer Ein/Ausgabebaugrup- 
pe abgespei chert en Daten bleibend verhindern* Wird die 
dem Zeitglied eingepragte Schaltzeit iiberschritten, so 
sperren die Rechner auch die Auswertung der noch in- 

20 takten Ein/Ausgabebaugruppe, Diese Sperrung tritt auch 
ein, wenn mindestens einer der Einzelrechner in den ihm 
mitgeteilten hoherredxindanten Daten irgendwelche Feh- 
ler entdeckt und wenn diese Fehler nicht durch nochma- 
lige DatenUbertragxing zu beseitigen sind. 

25 

FUr die Fortftihimng des Datenverkehrs nach dem Auftre- 
ten einer Storung in einer Ein/Ausgabebaugruppe ist 
ausschlaggebend, dafl das betroffene Mehrrechnersystem 
die defekte Ein/Ausgabebaugruppe beziehungsweise den 
30 gestorten Datenkanal auch tatsachlich erkennt und nicht 
etwa Daten aus der defekten Ein/Ausgabebaugruppe be- 
ziehungsweise aus dem gestorten Datenkanal tibernimmt. 
* Wie bereits erlautert wird die defekte und die intakte 
Ein/Ausgabebaugruppe Uber Redundanzpriifungen ermittelt. 
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£™Vr fl elntreten . "to" nur aina. son- 

dern beide RedundanzprUfungen zu dem Ergabnia ko m an, 
dafl die je«ell B Ubennittaltan PrOfdaten mit dan v 0D 
Mahrrachnarayate- nachgabildatan Prufdatan Ubarainati*. 

D " s ist vann naban dar Verfalsohung von 

Kutzdatan i* glalchen Kanal auch dia ttberaitteltan 
PrUfdatan garada ao varfglaoht verden, dafl aioh daraua 
dia fur dia varfsiacntan Nutzdaten richttgan PrUfdatan 

10 ist Jadoch nicht ganzlich auazuachlleflan. Tritt diaaar 

Fall am, ao wird diaa bairn Vargleioh dar Radundanz- 

prufargabniaaa f aatgastallt . Da dia baidan Einzalrach- 

de f n "^^P^ungan in diaaaa Pall nicht dan 

15 ZTt^ Ubertra « un e sltan al aindautig bastiman konnan, 
15 unterbmden sie in die«?Pm Van *u. 

«mz, v ^ aiesem Fall die weitere Dateniibertra- 

gung uber beide Ein/Ausgabebaugruppen. 

Die vorstehend fur Rechneranordnungen nach Figur 1 be- 
schriebenen Ablaufe gelten entsprechend auch fur Rech- 
20 neranordnungen gemafl Figur 2, bei denen die Rechner ei- 
nes Mehrrechnersystems die in ihren Ein/Ausgabebaugrup- 
pen zur (Jbertragung anstehenden Datentelegramme vor ih- 
rer Freigabe zurucklesen und die Freigabe vom Bilden 

PS m T ein f imDender PrU * er eebni sse in den Rechnern des 
25 Mehrrechnersystems abhangig machen. 

Die erfindungsgemaBen Verfahren zum Betrieb eines si- 
gnaltechnisch sicheren Mehrrechnersystems sin d nicht 

30 Tn zili/r^^ SiCh6ren Mehrrec ^-ystems als Zwei- 
30 von-Zwei/Rechnersystem beschrankt. Sielassen sich viel- 
mehr mit Vorteil bei jedem beliebigen signaltechnisch 
sxcheren Mehrrechnersystem anwenden, das Uber mindestens 
.zwei mxtinhaltlich gleichen Datehteregrammen beschick- 
te Em/Ausgabebaugruppen mit anderen Rechnern oder mit 



0182134 



-16- 84P293 8 E 

der Peripherie kommuniziert. Bei einem derartigen auf- 
wendiger gestalteten Mehrrechnersystem kann es zulassig 
sein, nicht nur den Ausfall einer einzigen Ein/Ausgabe- 
baugruppe, sondern ggf . auch den Ausfall mehrerer Ein/ 
5 Ausgabebaugruppen zu tolerieren, wenn iiber die vorhan- 
denen noch intakten Ein/ Ausgabebaugruppen ein ordnungs- 
gerechter Datenverkehr noch moglich ist. Die erfindungs- 
gemaBen Verfahren sind insbesondere auch bei einem Zwei- 
von-Drei/Rechnersystem vorteilhaft anwendbar. 

10 

^ Fur die Datenubertragung zwischen den einzelnen Mehr- 

rechnersystemen konnen beliebige Ubertragungssysteme 
vorgesehen sein; vorzugsweise ist jedoch an die Verwen- 
dung linearer Bussysteme, insbesondere Ringbussysteme 
15 gedacht. 

Dort, wo derartige Ubertragungssysteme verdoppelt wer- 
den, geschieht dies Uberwiegend aus Verfugbarkeitsgrun- 
den. Bei dem erfindungsgemafien Verfahren zum Betrieb 

20 eines signal technisch sicheren Hehrrechner systems da- 
gegen wird die Verdoppelung der Bussysteme zunachst 
ausschliefllich zur Erhohung der Sicherheit beim Daten- 
verkehr zwischen den Rechnersystemen verwendet, indem 
< die Daten mehrkanalig Ubertragen und die in den Ein/Aus- 

25 gabebaugruppen jeweils anliegenden Daten vor ihrer An- 
erkennung auf Ubereinstimmung geprtift werden. Erst beim 
Ausfall eines Obertragungskanals zwischen zwei Mehrrech- 
nersystemen wird die eiriem verdoppelten Obertragungs- 
system innenwohnende hohe Verfugbarkeit ausgenutzt und 

30 die Datenubertragung voriibergehend einkanalig iiber das 
jeweils noch als ordnungsgerecht angesehene Ubertra- 
gungssystem betrieben; dies ist nach der Lehre der Er- 
findung zulassig, sofern die dabei Ubermittelten Daten 
durch zusatzliche MaBnahmen gegen nicht erkennbare Feh- 
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ler zusatzlich gesi chert werden. 

9 Patentanspruche 
3 Piguren 
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Patentanspriiche 

1. Verfahren zum Betrieb eines signaltechnisch sicheren 
Mehrrechnersys terns mit mindestens zwei signaltechnisch 
5 nicht sicheren Ein/Ausgabebaugruppen, iiber die die Rech- 
ner des Mehrrechnersystems mindestens zweikanalig Da- 
tent el egramme von und/oder zu anderen Rechnern und/oder 
sonstigen datenaiifnehmenden, abgebenden oder verarbei- 
tenden Systemen ubertragen und iiber die siewn dort in 

10 Form von inhaltlich ubereinstimmenden Telegrammen fur 
die Ein/Ausgabebaugruppen durch Priifdaten gesicherte 
Nutzdaten empfangen bzw. nach dort abgeben, d a - 
durch gekennzeichnet, 
daB das sichere Mehrrechnersystem spatestens beim Er- 

15 kennen von ihm von einer Datenquelle iibermittelten un- 
gleichen Daten in diesen Ein/Ausgabebaugruppen die dort 
abgelegten Daten einer Redundanzpriifung unterzieht und 
hieraus die Ein/Ausgabebaugruppe mit den fehlerhaften 
Daten bestimmt, 

20 . daB das sichere Mehrrechnersystem dann die weitere Aus- 
wertung bzw, Fortschaltung von Daten iiber diese Ein/Aus- 
gabebaugruppe im Verkehr mit dem System, von dem die 
fehlerbehafteten Daten stammen, unterbindet, 
dafl das sichere Mehrrechnersystem die Datenquelle, von 

25 der es die ungleichen Daten erhalten hat, von dieser 
MaBnahme unterrichtet und diese Datenquelle dazu veran- 
laBt, die weitere Auswertung bzw. Fortschaltung von Da- 
ten iiber diejenige Ein/Ausgabebaugruppe, von der die als 
fehlerhaft erkannten Daten stammen, im Verkehr mit ihm 

30 zu unterbinden, 

daB das sichere Mehrrechnersystem diese Datenquelle im 
Verkehr mit ihm zur Abgabe von hoherredundanten Daten auf 
eine der von ihr noch betriebenen, auf einen anderen Ka- 
nal gefiihrten Ein/Ausgabebaugruppen veranlaBt und daB 
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sie das Einhalten der Redundanzbedingungen iiberwacht, 
daB das sichere Mehrrechnersystem auch selbst im Ver- 
kehr mit dem Datenempfanger der betreffenden Datenquel- 
le die zu Ubertragenden Daten hSherredundant erstellt, 
5 uber eine der von ihm noch betriebenen, auf einen an-' 
deren Kanal gefiihrten Ein/Ausgabebaugruppen an den Da- 
tenempfanger tibermittelt und den Datenempfanger zur 
uherwachung der Redundanzbedingungen veranlaBt, 
daB das sichere Mehrrechnersystem bei Nichteinhaltung 
10 der Redundanzbedingungen durch die in einer der noch 
von ihm betriebenen Ein/Ausgabebaugruppen abgelegten 
Daten auch die weitere Auswertung bzw. Fortschaltung 
der dort abgelegten Daten unterbindet 
und dafl das sichere Mehrrechnersystem die weitere Aus- 
15 wertung und Fortschaltung der in einer seiner noch be- 
triebenen Ein/Ausgabebaugruppen abgelegten Daten unter- 
bindet, wenn seit dem erst en Feststellen fehlerhafter 
Daten in einer seiner Ein/Ausgabebaugruppen eine defi- 
nierte maximale Zeitdauer vergangen ist, ohne daB die 
Sterung in der bzw. den als defekt erkannten Ein/Aus- 
gabebaugruppen bzw. dem betroffenen Ubertragungskanal 
behoben wurde. 



20 



2. Verfahren zum Betrieb eines signaltechnisch sicheren 
25 Mehrrechnersystems mit mindestens zwei signaltechnisch 
nicht sicheren Ein/Ausgabebaugruppen, Uber die die Rech- 
ner des Mehrrechnersystems mindestens zweikanalig Daten- 
telegramme von und/oder zu anderen Rechnern und/oder 
sonstigen Daten aufnehmenden, abgebenden oder verarbei- 
tenden Schaltmitteln ubertragen und Uber die sie von 
dort in Form von inhaltlich Ubereinstimmenden Telegram- 
men fiir die Ein/Ausgabebaugruppen durch Prufdaten ge- 
sicherte Nutzdaten empfangen bzw. nach dort abgeben, 



30 
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dadurch gekennzeich. net, 
dafl das sichere Mehrrechnersystem spatestens beim Er- 
kennen von ungleichen Daten in diesen Ein/Ausgabebau- 
gruppen die sort abgelegten Daten einer Redundanzpru- 
5 f\ing unterzieht und hieraus die Ein/Ausgabebaugruppe 
mit den fehlerhaften Daten bestimmt, 

daB das sichere Mehrrechnersystem dann die weitere Aus- 
wertung bzw. Fortschaltung von Daten iiber diese Ein/Aus- 
gabebaugruppe unterbindet, 

10 daB das sichere Mehrrechnersystem fur die Dauer der Ab- 
, schaltung einer seiner Ein/Ausgabebaugruppen die mit 

ihm kommunizierenden Datenquellen zur Abgaben von hoher- 
redimdanten Daten auf eine der von ihm noch betriebe- 
nen auf einen anderen Kanal gefuhrten Ein/Ausgabebau- 

15 gruppen veranlaBt und das Einhalten der Redundanzbe- 
dingungen iiberwacht, 

daB das sichere Mehrrechnersystem auch selbst im Ver- 
kehr mit Datenempfangern die zu iibertragenden Daten 
hoherredimdant erstellt, Uber eine der von ihm noch be- 
20 triebenen, auf einen anderen Kanal gefuhrten Ein/Aus- 
gabebaugruppenan die Datenempfanger libermittelt und die 
Datenempfanger zur Oberwachxong der Redundanzbedingungen 
veranlaBt, 

( daB das sichere Mehrrechnersystem bei Nichteinhaltung 

25 der Redundanzbedingungen durch die in einer der noch 
von ihm betriebenen Ein/Ausgabebaugruppen abgelegten 
Daten aiich die weitere Auswertung bzw, Fortschaltung 
der dort abgelegten Daten unterbindet 
und dafl das sichere Mehrrechnersystem die weitere Aus- 
30 wertung und Fortschaltung der in einer seiner noch be- 
triebenen Ein/Ausgabebaugruppen abgelegten Daten unter- 
bindet, wenn seit dem ersten Feststellen fehlerhafter 
Daten in einer seiner Ein/Ausgabebaugruppen eine de- 
finierte maximale Zeitdauer vergangen ist, ohne daB die 
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Stoning in der bzw. den als defekt erkannten Ein/Aus- 
gabebaugruppen bzw. dem betroff enen tfbertragungskanal 
behoben wurde. 

5 3. Verfahren nach Anspruch 1 oder 2, dadurch 

gekennzeichnet, dafidas sichere Mehrrech- 
nersystem beim Feststellen von ungleichen Daten in sei- 
nen mit inhaltlich gleichenDaten versorgten Ein/Ausgabe- 
baugruppen und/oder beim Feststellen von Fehlern in den 
10 hoherredundant gesicherten Daten vor dem bleibenden 
Sperren der Auswertung der in den jeweils betroffenen 
Ein/Ausgabebaugruppen abgelegten Daten mindestens eine 
erneute Dateniibermittlung anfordert. 

15 4. Verfahren nach Anspruch 1, 2 oder 3, dadurch 
gekennzeichnet, daBdas sichere Mehr- 
rechnersystem beim Erkennen ungleicher Daten in den 
durch die inhaltlich gleichen Telegramme belegten Ein/ 
Ausgabebaugruppen die weitere Auswertung bzw. die Fort- 

20 schaltung von Daten aus den in den Vergleich jeweils 
einbezogenen Ein/Ausgabebaugruppen unterbindet, wenn 
die von ihm durchgefuhrten Redundanzpriifungen fur die 
Daten in die sen Ein/Ausgabebaugruppen zu dem Ergebnis 
fUhren, daB die iibermittelten Daten den Priifbedingungen 

25 geniigen. 

5. Verfahren nach Anspruch 2 oder 3, dadurch 
gekennzeichnet, daB das Mehrrechnersystem 
beim Erkennen fehlerhafter Daten in einer seiner Ein/Aus- 
30 gabebaugruppen mindestens die Datenquelle, von der die 
fehlerhaft abgelegten Daten stammen, davon unterrich- 
tet, von welcher ihrer Ein/Ausgabebaugruppen diese Da- 
ten stammen und daB die betreffende Datenquelle darauf- 
hin die weitere Ausgabe von Daten Uber diese Ein/Aus- 
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gabebaugruppe unterbindet und die Ausgabe hoherredun- 
danter Daten tiber eine ihrer dann noch betriebenen 
Ein/Ausgabebaugruppen auf einem anderen Kanal veran- 
laflt bzw. auch ihrerseits das Einhalten der vorgege- 
5 benen Redundanzbedingungen beim Datenempfang iiber die- 
se Ein/Ausgabebaugruppe priift. 

6. Verfahren nach Anspruch 1, 2 Oder 3, dadurch 
gekennzeichnet, dafl die maximale Zeit- 

10 dauer fiir die Betriebsf ortfiihrung des Mehrrechnersystems 
ab dem ersten Feststellen fehlerhafter Daten in einer 
seiner Ein/Ausgabebaugruppen abhangig gemacht ist von 
der fUr die noch betriebenen Ein/Ausgabebaugruppen zu 
erwartenden MTBF und der nach dem Auftreten der Storung 

15 gewahlten Datenredundanz • 

7. Verfahren nach Anspruch 1, 2 oder 3, dadurch # 
gekennzeichnet , daB die hoher redundant en 
Daten durch Verdoppelung der Datentelegramme und anti- 

20 valente Darstellung der Daten in auf einanderfolgenden 
Telegrammen gebildet sind. 

8. Einrichtung zur Durchfiihrung des Verfahrens nach min- 
destens einem der Ansp ruche 1 bis 7, dadurch 

25 gekennzeichnet, dafl fur die Datenubertra- 
gung ein mindestens zweikanaliges Bussystem (B1, B2) 
vorgesehen ist und dafl die zur Aufnahme jeweils inhalt- 
lich gleicher Datentelegramme vorgesehenen Ein/Ausgabe- 
baugruppen (z.B. E/A21, E/A22) des sicheren Mehrrech- 

30 nersystems(RS2) an verschiedene Kanale (B1 bzw. B2) des 
Bussystems angeschlossen sind. 
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9. Einrichtung zur Durchfuhrung des Verfahrens nach 
Anspruch 6, dadurch gekennzeichnet 
dafl das sichere Mehrrechnersystem (R1, R2) ein signal- 
technisch sicheres Zeitglied (T1, T2) aufweist, das . 
beim Sperren der Auswertung von in einer Ein/Ausgabe- 
baugruppe abgelegten Daten einstellbar ist, nach Ab- 
lauf der ihm eingepragten Schaltzeit die Auswertung der 
hSherredundant gesicherten Daten unterbindet und das 
beim Feststellen von Ubertragungs- oder Speicherf ehlern 
in diesen hoherredundant gesicherten Daten die Auswer- 
tung dieser Daten unterbindet. 
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